Het Nederlands Compliance Instituut begon twintig jaar geleden als opleidingsinstituut. Al snel groeide het aanbod met andere diensten en producten, zoals compliance-gerelateerd organisatieadvies en recruitment en detachering van compliance officers. Wij spreken met Eric Schuiling, manager bij dit instituut, over ontwikkelingen en bekende en minder bekende thema’s binnen het vakgebied.

Compliance is constant in beweging en gaat vandaag de dag veel verder dan waar het oorspronkelijk mee begon, het voldoen aan wet- en regelgeving “In mijn optiek raakt het echt de kern van het bedrijf.” Aan het woord: Eric Schuiling, manager Advies & Detachering bij het Nederlands Compliance Instituut. “De banken bijvoorbeeld, zie ik als de smeerolie van de Nederlandse economie, maar om ervoor te zorgen dat ze op een duurzame manier hun taken uit kunnen blijven voeren, is het voldoen aan de gestelde wetten en regels de minimale norm.” Meer nog gaat het om de license to operate: wordt het je gegund vanuit de maatschappij om je werkzaamheden te verrichten?

De verantwoordelijkheid voor die ‘gunning’ ligt echter niet alleen bij de compliance officer. “Het moet niet zo zijn dat iedereen maar zijn ‘ding’ doet en men, op het moment dat er alarmbellen afgaan, pas naar de compliance-afdeling kijkt. Uiteindelijk trekt de directie aan hetzelfde eind van het touw. Het is vooral belangrijk dat men gezamenlijk naar de risico’s kijkt. Of dit nu de directeur is, de commerciële manager of de compliance officer.” Witwassen is hierbij één onderwerp, maar ook vraagstukken rondom marktmanipulatie en bijvoorbeeld PSD2 raken de gehele organisatie. “Dat zijn niet alleen de verantwoordelijkheden van de compliance officer.” Dit besef dringt langzaam maar zeker door binnen financiële instellingen. “Maar het kan beter”, erkent Schuiling. “Ik vind het mooi om me daar sterk voor te maken, in het grotere belang.”

Technologische ontwikkelingen

Samen met de veranderende wet- en regelgeving en technologische ontwikkelingen verandert het vak compliance mee. Vanuit het Compliance Instituut ligt de focus hierbij op de risico’s die opdoemen als gevolg van actuele ontwikkelingen. “Voor ons zijn de risico’s het aandachtspunt, niet de codeertaal waarin IT-oplossingen worden geschreven. We proberen dus bij onze leest te blijven.” Schuiling wijst ‘integriteit’ als een centraal thema aan. “De compliance officer 1.0 was, kortgezegd, iemand die controleerde of de instelling aan de wetten en regels voldeed, maar vandaag de dag is diegene veel meer een hoeder en aanjager van de integriteit.” Niet alleen rond financiële transacties, maar ook bijvoorbeeld wat betreft bedrijfsgevoelige en persoonsgebonden data.

Op basis van actuele thema’s en ontwikkelingen, zoals blockchain, past het Instituut zijn opleidingen aan. “We focussen ons dan veel meer op de risico’s die bij deze technologieën komen kijken.” Het gaat erom dat bijvoorbeeld een financiële dienstverlener die een nieuw, sterk technologisch gedreven, product op de markt wil brengen, geïnspireerd wordt om ook goed over integriteitsrisico’s na te denken. “Wat betekent dit nou voor je organisatie? Welke vakkennis moet je hebben om dit product aan te kunnen bieden? Wat voor gevolgen heeft dit voor je systemen en voor de informatie die je aan je klant moet verstrekken? Gesprekken rond deze uitdagingen zijn veel relevanter dan de codetaal waarin een toepassing wordt geschreven.” Enige kennis is natuurlijk vereist om op niveau de dialoog aan te kunnen gaan, maar die know how is slechts een middel in het gesprek over integriteit en risicobeheersing.

Nee verkopen

Het komt nog steeds voor dat compliance wordt onderschat door de directie. “Dan wordt een week voor de lancering van een nieuw product nog even de compliance afdeling aangehaakt om ernaar te kijken. Dan ben je dus veel te laat.” En is het aan die compliance-medewerker om voor een te vroegtijdige lancering te gaan liggen. En juist het verkopen van die ‘nee’ maakt dat niet iedereen geschikt is om binnen compliance aan de slag te gaan. Schuiling: “Je moet echt een rechte rug hebben en niet bang zijn om tegen de haren in te strijken.” Ga er maar aan staan. Een probleem dat Peter Diekman ook aangaf in de laatste radio-uitzending van Financials van Morgen. Schuiling: “Het heeft uiteindelijk ook te maken met uit welk hout je bent gesneden. Je moet een gesprek over risico’s op gang kunnen brengen en houden. Veel jonge compliance officers doen het in dat opzicht heel goed.” Opleidingen moeten daarom niet alleen kennis-, maar net zo goed competentie-gedreven zijn.

De nuance

De publieke opinie rondom de witwaspraktijken bij ING en Rabobank is steenhard: compliance heeft gefaald. Is die terechtwijzing op zijn plaats? “Het monitoren van transacties vind ik een taak van de bank zelf. Heeft compliance dan gefaald, of de business zelf?” Schuiling beschouwt de compliance-afdeling meer als een interne toezichthouder. Het three lines of defence-model dat veel banken hanteren zorgt ervoor dat de business zelf moet kijken: wat gaat er door onze systemen heen? “En compliance moet dan kijken of dat systeem goed loopt. Monitoren dus, dat is wat anders dan controleren.”

De nuance ontbreekt dus nogal eens. “Het screenen en analyseren van betalingen en het beoordelen van klanten is ongelofelijk complex, waar mensen met echte vakkennis aan te pas moeten komen. Witwassen is een nationaal probleem, waar meerdere sectoren een rol in spelen. De vraag is of je die verantwoordelijkheid dan alleen bij de financiële sector neer moet leggen.” Jaap Koelewijn gaf eerder aan dat compliance meer een publieke taak is. “Daar zit zeker wat in”, aldus Schuiling.